Einige haben es vielleicht schon bemerkt: ich habe die Datenschutzrichtlinien dieser Webseite angepasst. Ich bin damit auch noch nicht fertig. Und einige meiner Gedanken dazu möchte ich nun mit euch teilen. Vorweg: der Artikel ist lang. You have been warned.
Es ist nun nicht so, dass ich mich erst jetzt, wo das finale Inkrafttreten der Datenschutzgrundverordnung (kurz „DSGVO“) unmittelbar bevorsteht, eingehend mit dem Thema beschäftige: tatsächlich sind die Belange des Datenschutzes mir schon immer ein großes Anliegen gewesen – wer mir länger folgt, weiß das auch. Es ist vielmehr so: ich fand die Gesetzestexte und das ganze Drumherum bislang beeindruckend intransparent und hatte die Hoffnung, dass sich diesbezüglich bis zum 25. Mai noch etwas zum Besseren wendet. Diese Hoffnung hat sich leider nicht bewahrheitet.
Persönlich und familiär
Meine Recherchen ergaben, dass ein großer Teil der Leute sich auf Art. 2 Abs. 2 DSGVO stürzt: er definiert, wann die Verordnung eben keine Anwendung findet, und vor allem der Part mit persönlich und familiär erfreut sich wachsender Beliebtheit.
Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten…
… durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.– Art. 2 Abs. 2 lit. c DSGVO
Darüber habe ich im Bekannten- und Familienkreis nun schon häufig diskutiert und die unterschiedlichsten Meinungen dazu gehört. Unter familiär verstehe ich das Fotoalbum für Tante Berta, unter persönlich die Kontakte auf meinem iPhone. Eine Webseite als persönlich zu klassifizieren scheint mir in diesem Zusammenhang brandgefährlich: immerhin richtet sie sich mit ausgearbeiteten Inhalten an eine nicht näher definierte Leserschaft – eine Webseite steht grundsätzlich allen Interessierten offen.
Anders sähe es natürlich aus, wenn man sie digital zuzunageln und das Passwort verschlucken würde: „Weitergehen, hier gibt es nichts zu sehen!“ Tue ich aber nicht. Tatsächlich ist es in meinem Fall sogar so, dass ich als Systems Engineer überwiegend über Belange des Systems Engineering schreibe; außerdem blende ich, wenngleich keine Bannerwerbung oder Ads, meinen kleinen Kaffee-Spenden-Button und einen Verweis auf meine Amazon-Wunschliste ein. In Kürze wird auch der Hinweis auf das baldige Erscheinen meines Buches seinen Platz hier finden, und auch wenn man das Buch auf diesem Wege nicht wird bestellen können – so könnte man mir insgesamt durchaus eine Gewinnerzielungsabsicht unterstellen. Oder nicht? Oder doch?
Kurzum: meine Un*xe ist weder als persönlich, familiär noch von öffentlichem Interesse einzustufen und fällt mithin unter die Regelungen der DSGVO (so wie meiner Meinung nach der überwiegende Teil aller Webseiten). Sie soll eine Plattform darstellen, auf der Interessierte sich informieren und austauschen können. Da geht’s ja aber gerade schon wieder los…
Kommentare
Verdammt, die Kommentarfunktion ist mein echter Dorn im Auge. Schon vor Urzeiten (mein Blog geht stramm auf seinen 12. Geburtstag zu!) hatte ich eingestellt, dass die Angabe eines (Nick)Names und einer Email-Adresse zum Kommentieren verpflichtend sei: beides fällt meiner Meinung nach unter dem Aspekt der „personenbezogenen Daten“. Das darf ich, und das darf ich gemäß 6 Abs. 1 lit. f DSGVO auch weiterhin. Zugleich gilt jedoch auch Art. 5 Abs. 1 lit. f DSGVO – welcher sich nämlich auf den angemessenen Schutz dieser Daten bezieht.
WordPress knallt die gesammelten Angaben im Klartext in die Datenbank. Ist das hinreichend angemessen? Okay, die erfasste IP-Adresse des Kommentators lösche ich automatisiert nach 60 Tagen, die ist dann schonmal weg. Aber der Rest? Kann ich die Kommentarfunktion noch guten Gewissens offen lassen? Soll ich einfach darauf hoffen, dass die WordPress-Entwickler hier zeitnah nachlegen? Aber wer sichert mir zu, dass das dann so DSGVO-konform ist?
Ich habe darüber nachgedacht, die WordPress-Option „Benutzer müssen zum Kommentieren Name und E-Mail-Adresse hinterlassen “ schlicht zu deaktivieren; keine Namen, keine Adressen, und nach 60 Tagen keine IPs mehr. Aber irgendwie…
Das Recht auf Löschung
Wie stelle ich dann sicher, dass jener Henri, der mir jetzt bezugnehmend auf Art. 17 Abs. 1 DSGVO mitteilt, dass ich gefälligst all seine unter dem Usernamen kakipflaume0815 erfassten Kommentare trashen möge, auch der richtige Henri ist? Könnte ja sonst jeder kommen und Löschung von allem möglichen verlangen! Also doch die Email-Adresse dauerhaft behalten? Dann steht die wieder in der Datenbank rum, und Mailheader und Absendeadressen sind auch schnell gefälscht… was bleibt? Das sind Fragen, die ich mir auch im Zusammenhang mit Art 16. DSGVO („Recht auf Berichtigung“), Art. 15 DSGVO („Auskunftsrecht“) und so stelle.
Für den Moment ist die Kommentarfunktion noch offen; ich hoffe auf klugen Input meiner treuen Leserschaft, der im Idealfall Licht ins Dunkel bringen wird. Gegebenenfalls schalte ich sie zum 25. Mai auch vorerst ganz ab, ich weiß es noch nicht.
„Ihr könntet jetzt also genauso gut… abschalten?!“
Frei nach Peter Lustig… Meiner Meinung nach haben die Diskussionen zum Thema generell nichts mit „übertriebener Panikmache“ zu tun – ein Vorwurf, der in den vergangenen Tagen immer lauter wird. Okay, ja, klar, einige schon. Aber: einige grundlegende Dinge sind nun einmal himmelschreiend ungeklärt, und auch Consultants, Datenschutzbeauftragte und viele andere, die diesbezüglich deutlich mehr drauf haben als ich, scheuen klare Ansagen. Ich glaube an den „alten Netzgedanken von früher™“: ich weiß was und stelle es euch zur Verfügung. Für lau. Profitiere umgekehrt und gegebenenfalls auf anderen Wegen von eurem Wissen. Ich mag den Ansatz, nach wie vor. Aber ist er noch realistisch?
Wenn nun sogar für einen Kristian Köhntopp die Weiterführung der selbst gehosteten Instanz nicht ansatzweise zur Debatte steht – wo stehe ich dann? Auf wie dünnes Eis begebe ich mich? Und ist es das wert?
Was habe ich geändert?
Grundsätzlich bin ich schon vor längerem dazu übergegangen, so wenige Plugins wie möglich zu verwenden; was immer geht, fackele ich über mein Child-Theme ab, so zum Beispiel auch das Abschalten externer Emoticons (einen sehr guten Artikel dazu findet ihr hier).
Da ich aber externe Quellen ohnehin nicht so prickelnd finde versuche ich, Content möglichst immer lokal vorzuhalten; deshalb liegen beispielsweise alle benötigten Fonts auf meinem Server, statt dass ich sie von Google Fonts einbinde – spart euch Ladezeit und mir einen großen Absatz in der Datenschutzerklärung.
Gravatar habe ich abgeschaltet: das ist doof, weil ich die Seite mit euren Avataren irgendwie „persönlicher“ fand, aber der Preis dafür war mir zu hoch.
Die gesamte Indieweb-Maschinerie habe ich erst außer Betrieb gesetzt, dann die Verbindungen zu den Apps gelöst und schließlich allen Webmention-Content aus meiner Datenbank gelöscht – worüber ich sehr traurig bin, ich mochte die Funktionen einfach sehr. Aber aus verschiedenen Gründen ist es nicht zu vertreten. Ich hatte mir im Vorfeld zahlreiche Gedanken dazu gemacht, und die deutlich strukturiertere Printausgabe dieser Gedanken findet ihr in diesem großartigen Artikel von Sebastian Greger.
Meinem nginx hab ich ein add_header Referrer-Policy 'same-origin'; verpasst; wenn ihr da mehr zu lesen wollt, könntet ihr beispielsweise hier damit anfangen. Und von Volker habe ich den Tip erhalten, das Analysetool „Dataskydd“ auszuprobieren: als externe Ressourcen kommen nun noch die vier Instragram-Bildchen, das VGWort-Zählpixel und das VGWort-Cookie zum Tragen.
Ansonsten unterzog ich die Seite, wie ich es ohnehin alle paar Monate tue, einer Putzaktion: Aufräumen der Datenbank, Überprüfung der Plugins, gegebenenfalls Deaktivierung und Löschung von Schrott. A propos „Schrott“: Google Analytics hab ich bei der Gelegenheit auch gerade über die Wupper geschickt. Hat jetzt weniger mit der DSGVO zu tun – okay, ja doch auch, ich hatte keinen Bock, mit das alles durchzulesen… in erster Linie hab ich es nie wirklich genutzt. Ich weiß, dass das eine kleine Nischen-Webseite ist und meine Besucher überwiegend über 20 unter unter 50 Jahre alt sind und männlich und aus Deutschland. Oder Österreich. Juckt mich aber, wenn ich ehrlich bin, nicht wirklich, ich hab mit diesen Informationen nie gearbeitet. Ist jetzt also alles weg, und das kommt wiederum der Ladezeit zugute.
Ich hätte Google Analytics natürlich auch drinlassen können; hätte das in der Datenschutzerklärung dann halt ausarbeiten müssen, „berechtigtes Interesse“ und so. Aber wie ist es eigentlich, wenn eine Website aus „berechtigtem Interesse“ vier Tracking-Systeme parallel einsetzt? Widerspricht das nicht dem Grundsatz der Datensparsamkeit?
Gute Nacht, ihr da draußen!
Jetzt bin ich müde, aber das hatte sich nun schon seit langem aufgestaut und musste einfach mal raus. Mit etwas Glück haben wir ja im Endeffekt alle was davon :D Schlaft gut, wo immer ihr auch träumt!
[Update 10. Mai 2018] Hier ein weiterer Artikel der versucht, Licht ins Dunkel zu bringen.
Bzgl. DSGVO existieren derzeit sehr viele Mythen und ach, was auch immer.
Meiner Meinung nach wird der Fokus im SMB Bereich liegen, da man hier wahrscheinlich das größtmögliche Umsatzpotential sieht – keiner kennt sich in diesem Bereich damit aus, hat das Budget sich rechtlich darauf vorzubereiten, und niemand will, dadurch bedingt, in Gefahr laufen Strafen zu zahlen. Größere Unternehmen haben sich im Vorfeld darauf vorbereitet und sich mit Hilfe ihrer Anwaltskanzleien entsprechend abgesichert. Ich persönlich würde das Thema, aus privater Sicht und als privater Betreiber einer Website, relativ entspannt betrachten. Meiner Meinung nach wird in den nächsten 2 Jahren erst einmal der SMB Bereich „abgeerntet“.
Allerdings ist das nur meine persönliche Meinung zu dem Thema DSGVO und ich habe keinerlei juristischen Background.
Soweit ich das verstanden habe, betrifft es überhaupt nur Unternehmen, bei denen mehrere Leute regelmäßig damit beschäftigt sind, personenbezogene Daten auszuwerten, also maschinell weiter zu verarbeiten. Name und Mailadressen als reine Kontaktinformationen zählen da noch nicht mal unbedingt dazu.
Für mehr oder weniger private bzw. privat betriebene Webseiten hat es keine Auswirkungen. Noch dazu deckt das bereits bestehende sehr strenge deutsche Datenschutzgesetz eh viele Fälle der nicht mal neuen Verordnung ab, deren Übergangsfrist jetzt endet.
Hallo Frank,
woher nimmst du dir Information „es betrifft nur Unternehmen, bei denen[…] für mehr oder weniger private bzw. privat betriebene Webseiten hat es keine Auswirkungen[…]“? Das halte ich für sachlich falsch und entspricht auch nicht der Forumulierung von Art. 2 Abs. 1 DSGVO:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
„widerspricht man dem erstmal und das muss vor Gericht gehen(dafür hat man eine Rechtsschutzversicherung)“
Die Versicherung deckt aber nur Anwalts- und Gerichtskosten, nicht moegliche Schaeden, fuer die man Haftet – wir hatten die Diskussion erst auf Arbeit, man sollte wohl mit 30-60.000 Euro rechnen, die man auf der hohen Kante haben muss, wenn man das Risiko einer DSGVO-Verletzung eingeht. Das duerfte fuer die meisten privaten Betreiber nicht zu machen sein. Und es hat eben auch nicht jede Person Zugang zu einer Rechtsschutz. Fuer viele Menschen sind mehrere hundert Euro im Jahr einfach zu viel – die Webseite fuer ~10 Euro aber eben nicht. Oder soll man diesen Menschen jetzt die Teilhabe an der Gesellschaft versagen, nur weil sie sich das nicht leisten koennen?
Was die Kommentarfunktion angeht würde ich sie so lassen wie bisher und im Impressum darauf verweisen, dass man Daten nur löscht wenn es von der hinterlegten E-Mailadresse angefordert wird.
Hat ja den einfachen Grund, dass man sonst nicht nachvollziehen kann ob das Begehren berechtigt ist.
Was das abschalten von Selfhosted Dingen angeht, sehe ich das eher umgekehrt, als in dem referenzierten Artikel, da man nur beim selfhosting wirklich die Möglichkeit hat zu kontrollieren und einzustellen, was sonst noch so raus geht and irgendwelche anderen.
—-
Was diese ganze Panikmache angeht die momentan überall betrieben wird, bin ich davon echt massiv genervt. Selbst wenn die Abmahnungen rein kommen, widerspricht man dem erstmal und das muss vor Gericht gehen(dafür hat man eine Rechtsschutzversicherung). Die meisten Abmahnanwälte scheuen diesen Schritt und werden klein beigeben.
Die ganzen Datenschutzbehörden in Deutschland werden auch erstmal abwarten und nicht sofort alles überprüfen wollen, da sie das überhaupt nicht können. In meinem Fall ist die Datenschutzbehörde in Baden-Württemberg ca 20-30 Mann stark. Selbst wenn sie alles Kontrollieren wollten bräuchten sie bei ca 30.000 Betrieben mehrere Jahrezehnte, ohne die Gerichtsverfahren einzurechnen.
Alles in allem, einfach ruhig bleiben. Sachen die man absichern kann, so gut es geht und alles dokumentieren, damit man das im Zweifelsfall nachweisen kann, dann wird man auch nicht direkt mit Millionenstrafen belegt, sondern bekommt vielleicht eine Verwarnung.